Главная github enterprise

github enterprise

Для подписчиков

Ключи от «Гитхаба». Выполняем произвольный код в GitHub Enterprise

Критическая уязвимость в корпоративной версии популярнейшей системы контроля версий GitHub позволяет любому авторизованному пользователю выполнять произвольный код в системе. Для эксплуатации этой уязвимости требуется применить сразу несколько техник: инъекцию в кеширующий сервис и внедрение объектов.

Для подписчиков

Строим свой GitHub. HOW-TO по настройке GitLab, опенсорсной альтернативы Гитхабу

Сегодня тяжело представить серьезную разработку без использования системы контроля версий. Тем более что в Сети достаточно сервисов, предоставляющих такую возможность с большим числом полезных дополнений. Но когда проект разрастается, становится очевидным, что возможности бесплатных аккаунтов сильно ограничены, в первую очередь количество приватных репозиториев. И хочется большего контроля над репозиторием, ведь код — это все, что есть у бизнеса. Значит, пришло время разворачивать свой сервис.

Обзор эксплоита: удаленное выполнение произвольного кода в GitHub Enterprise 2.8.0 < 2.8.6 (видео)

Уязвимость существует из-за применения статического ключа для подписи сессии. Атакующий может отправить произвольные данные и подтвердить их валидность с помощью сигнатуры, используя известный ключ. Отправив специально сформированный сериализованный объект, атакующий может скомпрометировать систему. Сериализованные данные будут преобразованы в объект Ruby при помощи модуля Marshal и выполнены.

Еженедельный дайджест

«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
9300 р.
на год
870 р.
на месяц
120 р.
за 1 статью

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook

Материалы для подписчиков